共用方式為

Power BI 實作規劃:資訊保護和資料外洩防護

  • 發行項

注意

本文是 Power BI 實作規劃系列文章的其中一篇。 此系列主要著重於 Microsoft Fabric 中的 Power BI 體驗。 如需有關此系列的簡介,請參閱 Power BI 實作規劃

本文介紹 Power BI 資訊保護和資料外洩防護 (DLP) 文章。 這些文章擁有多個目標對象:

  • Power BI 系統管理員:負責監督組織中的 Power BI 的系統管理員。 Power BI 管理員必須與資訊安全小組和其他相關小組共同作業。
  • 卓越中心、IT 和 BI 小組:負責監督組織中 Power BI 的團隊。 他們可能需要與 Power BI 管理員、資訊安全小組和其他相關小組共同作業。

重要

資訊保護和 DLP 是整個組織的重要工作。 其範圍和影響遠大於 Power BI 本身。 這種類型的計劃需要資金、優先順序和規劃。 預期會牽涉到數個跨職能小組進行規劃、使用和監督工作。

身為管理組織 Power BI 的人員,您通常不會直接負責資訊保護和 DLP 的大部分層面。 這些責任可能會落在資訊安全小組和其他系統管理員身上。

這系列文章的重點包括:

  • 為何:為什麼這些功能對於合規性和稽核很重要。
  • 什麼是:端對端流程的概覽。
  • :哪些團隊參與端對端流程。
  • 必要條件:在 Power BI 啟用資訊保護和 DLP 功能之前,必須就緒的專案。

重要

[Power BI 管理員] 角色已重新命名。 角色的新名稱是 Fabric 管理員

保護組織資料

資料存在於許多應用程式和服務中。 它儲存在來源資料庫和檔案中。 資料會發佈至 Power BI 服務。 它也存在於 Power BI 服務外部,做為原始檔案、下載的檔案和匯出的資料。 當資料變得更容易存取並且可以跨越更多資源時,您保護資料方式就變得越來越重要。

簡而言之,保護資料就是:

  • 保護組織資料。
  • 降低未經授權或無意間共用敏感性資訊的風險。
  • 加強法規需求的合規性狀態。

保護資料是一個複雜的主題。 概括而言,與 Power BI 相關的主題包括:

  • 使用者所採取的負責任行動:已接受指導和訓練的使用者,在清楚了解預期要求後,可以合乎道德地行動。 他們可以在正常工作過程中創造一種重視安全、隱私權和合規性的文化。
  • 適當大小的使用者安全性許可權:在Power BI中,保護數據和報表與這些文章中所述的資訊保護和 DLP 活動不同。 Power BI 中的安全性方法包括工作區角色、共用、應用程式權限和資料列層級安全性 (RLS) 等技術。 安全性規劃文章介紹了安全性技術,例如工作區角色、應用程式權限、每項目共用和 RLS。
  • 數據生命週期管理:備份和版本控制等程式對於保護數據很重要。 加密金鑰的設定和資料儲存的地理位置也是需要考慮的因素。
  • 信息保護:使用敏感度標籤和分類內容是能夠保護內容的第一步。 本系列文章涵蓋資訊保護內容。
  • 數據外洩防護原則:DLP 是指可降低數據外泄風險的控件和原則。 本系列文章涵蓋資料外洩防護內容。

資訊保護和 DLP 系列文章著重於最後兩個重點:資訊保護和 DLP,特別是它們與 Power BI 的關聯性。

建議您也熟悉完整的 Microsoft Purview 資訊保護架構:了解您的資料、保護您的資料、防止資料外洩以及管理您的資料。

提示

您組織的 IT 部門將擁有被視為資訊保護的現有流程,但它們超出了本系列文章的範圍。 流程可能包括與來源資料庫系統相關的高可用性和災害復原工作。 它們也可以包括保護行動裝置。 請務必在您的所有規劃工作中確定並讓相關的技術和治理團隊參與其中。

常見使用案例

Power BI 合規性挑戰和法規報告要求通常是開始使用資訊保護和 DLP 的驅動因素。

提示

資料外洩是指資料被未經授權的使用者查看的風險。 該術語經常在提及外部使用者時使用。 不過,也可以套用至內部使用者。 降低資料外洩風險通常是資訊保護和 DLP 工作的首要任務。 本節列出的所有使用案例都有助於減少資料外洩。

本節包括促使組織實作資訊保護和 DLP 的常見使用案例。 這些使用案例主要專注在 Power BI,儘管它為組織帶來的優勢要廣泛得多。

分類並標記資料

組織通常具有分類和標記內容的外部或內部需求。 在 Power BI (以及其他組織應用程式和服務) 中使用敏感度標籤是符合合規性要求的關鍵因素。

為 Power BI 中的內容指派敏感度標籤後,您將能夠獲得以下方面的知識和深入解析:

  • 敏感性資料是否包含在 Power BI 工作區中。
  • 特定 Power BI 專案,例如語意模型,是否被視為機密。
  • 誰可以存取被視為敏感性的 Power BI 項目。
  • 誰已在 Power BI 服務中存取敏感性資料。

使用端對端保護,可以自動從資料來源繼承敏感度標籤。 標籤繼承可降低因為未加上標籤導致使用者存取以及與未經授權使用者共用敏感性資料的風險。

從 Power BI 服務匯出時,當內容匯出至支援的檔案類型時,會保留敏感度標籤。 匯出內容時保留標籤是減少資料外洩的另一個關鍵因素。

如需標籤和分類 Power BI 內容的詳細資訊,請參閱 Power BI 的資訊保護

教育使用者

如之前所述,保護資料的其中一個層面涉及使用者所採取的負責任動作。

因為敏感度標籤以純文字形式清晰顯示,因此它們可以為使用者提供有用的提醒。 在正常工作過程中,標籤提高了使用者應如何根據組織指南和原則與資料互動的意識。

例如,當使用者看到「高度機密」敏感度標籤時,會提示他們在下載、儲存或與他人共用內容的決定時要格外小心。 透過這種方式,敏感度標籤可以幫助使用者負責任地處理敏感資料,並降低與未經授權的使用者錯誤共用資料的風險。

如需詳細資訊,請參閱 Power BI 的資訊保護

偵測敏感性資料

偵測敏感性資料儲存位置的能力是資料外洩的另一個重要層面。

當資料集已發佈到 Power BI 服務並且位於 Premium 工作區中時,您可以使用 Power BI 的 DLP 來偵測其中是否存在某些敏感性資訊類型。 此功能有助於尋找儲存在 Power BI 語意模型中的敏感性資料 (例如財務資料或個人資料)。

重要

此文章有時會提及 Power BI Premium 或其容量訂用帳戶 (P SKU)。 請注意,Microsoft 目前正在整合購買選項,並按容量 SKU 淘汰 Power BI Premium。 新客戶和現有客戶應考慮改為購買 Fabric 容量訂用帳戶 (F SKU)。

如需詳細資訊,請參閱 Power BI Premium 授權的重要更新Power BI Premium 常見問題集

此類型的 Power BI DLP 原則可讓安全性管理員監視和偵測未經授權的敏感資料何時上傳到 Power BI 服務。 他們可以依據警示來快速採取行動。 原則提示也用於指導內容建立者和擁有者如何正確處理敏感性資料。 如需 Power BI 的 DLP 詳細資訊,請參閱 Power BI 的資料外洩防護

提示

正確分類的資料可讓您進行關聯、分析和報告。 在大多數情況下,您需要關聯多個來源的資料才能形成完整的理解。 您可以使用 Power BI 掃描器 APIPower BI 活動記錄等工具擷取資料。 如需這些主題的詳細資訊,以及 Microsoft Purview 合規性入口網站中的稽核記錄,請參閱稽核 Power BI 的資訊保護和資料外洩防護

使用資料加密

使用敏感度標籤分類的檔案可以 (選用) 包括保護。 當檔案受到加密保護時,可以降低資料外洩和過度共用的風險。 不論裝置或使用者為何,加密設定都會跟著檔案。 未經授權的使用者 (組織內部和外部) 無法開啟、解密或檢視檔案內容。

重要

實作加密時您應該了解一些取捨。 如需包括加密考量的詳細資訊,請參閱 Power BI 的資訊保護

如需您可以實作以減少資料外洩的控制措施類型的詳細資訊,請參閱 Power BI 的 Defender for Cloud Apps

即時控制活動

為了增強 Power BI 中的現有安全性設定,您可以實作即時控制來降低資料外洩的風險。

例如,您可以限制使用者從 Power BI 服務下載高敏感性資料和報表。 當允許某人自己查看內容但應阻止他們下載並將內容散佈給其他人時,這種類型的即時控制很有用。

如需您可以實作的控制措施類型的詳細資訊,請參閱 Power BI 的 Defender for Cloud Apps

提示

有關加強 Power BI 合規性的其他注意事項,請參閱安全性規劃文章。

資訊保護和 DLP 服務

許多與資訊保護和 DLP 相關的功能和服務已重新命名,現已成為 Microsoft Purview 的一部分。 Microsoft 365 安全性與合規性功能也已成為 Microsoft Purview 的一部分。

與本系列文章最相關的功能和服務包括:

  • Microsoft Purview 資訊保護 (以前稱為 Microsoft 資訊保護):Microsoft Purview 資訊保護包含探索、分類和保護資料的功能。 其中一個主要原則是,分類後的資料將能得到更好的保護。 分類資料的關鍵建構區塊是敏感度標籤,如 Power BI 的資訊保護文章中所說明。
  • Microsoft Purview 合規性入口網站 (以前稱為 Microsoft 365 合規性中心):您可以在入口網站中設定敏感度標籤。 您也可以在此處設定 Power BI for DLP,如 Power BI 的資料外洩防護文章中所說明。
  • Microsoft Purview 資料外洩防護 (以前稱為 Office 365 資料外洩防護):DLP 活動主要著重於減少資料外洩。 透過使用敏感度標籤或敏感性資訊類型,Microsoft Purview 資料外洩防護原則可協助組織找到敏感性資料並對其進行保護。 Power BI 的資料外洩防護文章介紹了與 Power BI 相關的功能。
  • Microsoft Defender for Cloud Apps (以前稱為 Microsoft Cloud App Security):Microsoft Defender for Cloud Apps 中的原則 (在個別應用程式中定義) 也有助於保護資料,包括即時控制。 Power BI 的 Defender for Cloud Apps 文章說明與 Power BI 相關的功能。

上述清單並未詳盡。 Microsoft Purview 包含一系列廣泛的功能,遠遠超出了本系列文章的範圍。 例如,Microsoft Purview 資料編目和治理功能很重要;但是,它們並不直接屬於本系列文章的討論範圍。

提示

如果您對服務、功能或授權有疑問,請聯絡您的 Microsoft 客戶團隊。 他們最有能力釐清您的組織可以使用哪些內容。

資訊保護和 DLP 內容的其餘部分會整理在以下文章中:

相關內容

本系列的下一篇文章中,了解如何開始透過 Power BI 的組織層級規劃活動來保護資訊。